Microsoft нашла уязвимость в Android-приложении TikTok

Microsoft сообщила об уязвимости высокой степени серьезности в Android-приложении TikTok, которая могла позволить злоумышленникам проникнуть в учетные записи одним щелчком мыши.

В приложении Android TikTok возникла серьезная проблема с безопасностью, и Microsoft сообщила об этом. Недавно компания подробно рассказала о результатах сообществу кибербезопасности, указав, что уязвимость высокой степени опасности могла позволить злоумышленникам скомпрометировать учетные записи одним щелчком мыши. Microsoft также уведомила TikTok о проблеме, и с тех пор она была исправлена.

По словам Microsoft, эта конкретная уязвимость затронула TikTok на Android версии 23.7.3 и ниже, требовала объединения нескольких проблем для использования и не использовалась в реальной жизни. Это означает, что вряд ли это кого-то затронуло. На самом деле существует две версии TikTok для Android: одна для Восточной и Юго-Восточной Азии, а другая — для остального мира. Microsoft провела оценку уязвимостей и обнаружила, что оба приложения затронуты, то есть уязвимость затронула в общей сложности 1,5 миллиарда установок.

Однако благодаря этой уязвимости хакеры могли взломать учетную запись TikTok на базе Android, даже если пользователь не знал об этом, просто если он нажал на одну ссылку. Злоумышленник мог получить доступ к скомпрометированному профилю TikTok, что позволило ему просматривать частные видео, отправлять сообщения или загружать видео.

Итак, каковы особенности того, как эта уязвимость могла быть использована злоумышленником? Что ж, по словам Microsoft, приложение TikTok для Android позволяло обойти проверку глубоких ссылок приложения. Злоумышленник мог заставить приложение загрузить URL-адрес в WebView приложения. Тогда это позволило бы странице в этом URL-адресе получить доступ к мостам JavaScript WebView, чтобы предоставить хакеру больше функциональности и 70 способов быстрого доступа к информации пользователя. Злоумышленник также мог получить токены аутентификации пользователя, отправив запрос на контролируемый сервер и зарегистрировав файл cookie и заголовки запроса.

Майкрософт написал об этой самой проблеме с мостами JavaScript в прошлом и запись CVE доступен для получения более подробной информации об этой уязвимости TikTok. Компания сообщила о проблеме посредством скоординированного раскрытия информации об уязвимостях (CVD) через Microsoft Security Vulnerability Research (МСВР) в феврале 2022 года, и TikTok исправил его через месяц после раскрытия. Microsoft считает, что эта ситуация показывает, насколько важно координировать исследования и анализ угроз в технологической отрасли.

Источник: Майкрософт